Нормативные документы по защите персональных данных

Федеральный закон от 27 июля 2006 года №152-ФЗ "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

Федеральный закон от 27 июля 2006 года №149-ФЗ "Об информации, информационных технологиях и о защите информации"

Указ Президента Российской Федерации от 6 марта 1997 года №188 "ОБ УТВЕРЖДЕНИИ ПЕРЕЧНЯ СВЕДЕНИЙ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА"

Постановление Правительства Российской Федерации от 17 ноября 2007 года №781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

Постановления Правительства Российской Федерации от 6 июля 2008 года №512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных"

Постановление Правительства Российской Федерации от 15 сентября 2008 года №687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 года №55/86/20  "Об утверждении Порядка проведения классификации информационных систем персональных данных"

Приказ Роскомнадзора от 28 марта 2008 г. N 154 "Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных"

Письмо Рособразования от 3 сентября 2008 года №17-02-09/185 "О представлении уведомлений об обработке персональных данных"

Письмо Рособразования от 27 июля 2009 года №17-110 "Об обеспечении защиты персональных данных»

Приказ Мининформсвязи России от 30 января 2010 г. №18 "Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных"

Приказ Федеральной службы по техническому и экспортному контролю от 5 февраля 2010 г. N 58 "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных"

Локальные акты

Политика в отношении обработки персональных данных

Бланк согласия на обработку персональных данных

Согласие на обработку персональных данных

Для соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДнДля соблюдения требований закона N 152-ФЗ «О персональных данных» (ПДн) школа должна получить от родителей каждого ученика согласие на обработку персональных данных. Без такого согласия мы не сможем вести учет Ваших детей в привычном режиме.
Мы гарантируем, что данные Ваших детей будут использоваться только для организации образовательной деятельности. Данные об обучающихся используются и передаются в медицинские учреждения (в поликлинику при прохождении диспансеризации, оформлении медицинских справок 086-у, проведения вакцинации), в санитарно-эпидемиологическую службу (при возникновении нештатных ситуаций), охранные службы в экстренных ситуациях (пожар), в военкомат (при постановке юношей на воинский учет), в департамент образования (статистические отчеты, проведение ГИА), администрацию города  (льготное питание, защита интересов детей), в структурные подразделения органов внутренних дел, Комиссию по делам несовершеннолетних, органы опеки, управление социальной защиты населения.

Мы прекрасно понимаем, что определение «общедоступности» вызывает у Вас оправданную настороженность. Со своей стороны, обращаем Ваше внимание на многолетний опыт взаимодействия: все это время мы фактически работали в режиме, который теперь назван общедоступным. Мы используем современные общеизвестные средства защиты от несанкционированного доступа и за все годы ни одной жалобы на утечку информации не поступало. Гарантируем и в дальнейшем заботливо относиться к Вашим персональным данным.

В отношении тех, кто не даст согласие на обработку данных, должна быть выполнена норма 152-ФЗ по блокированию обработки данных: Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных. 
п.5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных. В этом случае персональные данные ребенка блокируются в «Личном деле», исключаются из всех информационных систем школы и отсутствуют во всех учетных документах, заполняемых с начала 2011 года. Ребенок принимает участие только в тех мероприятиях, которые не сопровождаются составлением списка участников.

Обработка персональных данных, предусмотренных настоящим Федеральным законом, осуществляется только с согласия родителей в письменной форме. Лист согласия заполняется родителем (законным представителем) ребенка и прикрепляется к личному делу обучающегося. Согласие на обработку персональных данных будет храниться в школе, его содержание недоступно другим операторам, поэтому распространяться оно будет только на школу. Любой другой оператор персональных данных должен будет независимо получать от Вас разрешение на обработку Ваших персональных данных.

Письменное согласие должно включать в себя:
- фамилию, имя, отчество, адрес родителя (законного представителя), номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, сведения о дате  рождения, месте рождения; (Без этих данных лист согласия недействителен!!!!)
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных. Например, в соответствии с п. 38 Порядка проведения единого государственного экзамена проводится автоматизированное распределение участников ЕГЭ и организаторов по аудиториям, если нет согласия на обработку персональных данных, то обучающиеся 11 классов будут отсутствовать в списках выпускников, что приведет к невозможности участия в сдаче ЕГЭ (получения бланков, контрольно-измерительных материалов). Участие в дистанционных конкурсах и олимпиадах (отправка заявки на участие по сети Интернет), выставление на сайте школы информации о победителях олимпиад и конкурсов (Ф.И. обучающегося и фото) и т.д.
срок, в течение которого действует согласие, а также порядок его отзыва.

Основной целью обработки персональных данных обучающихся является обеспечение наиболее полного исполнения образовательным учреждением своих обязанностей, обязательств и компетенций, определенных Федеральным законом "Об образовании в Российской Федерации".

Целями обработки персональных данных обучающихся являются:

• обеспечение соблюдения законов и иных нормативных правовых актов;
• учет детей, подлежащих обязательному обучению в образовательном учреждении;
• соблюдение порядка и правил приема в образовательное учреждение;
• индивидуальный учет результатов освоения обучающимися образовательных программ, а также хранение архивов данных об этих результатах на бумажных носителях и/или электронных носителях;
• учет реализации права обучающихся на получение образования в соответствии с государственными стандартами в форме самообразования, семейного образования, на обучение в пределах этих стандартов по индивидуальным учебным планам;
• учет обучающихся, нуждающихся в социальной поддержке и защите;
• учет обучающихся, нуждающихся в особых условиях воспитания и обучения и требующих специального педагогического подхода, обеспечивающего их социальную реабилитацию, образование и профессиональную подготовку, содействие  в обучении, трудоустройстве;
• использование в уставной деятельности с применением средств автоматизации или без таких средств, включая хранение этих данных в архивах и размещение в информационно-телекоммуникационных сетях с целью предоставления доступа к ним;
• заполнение базы данных автоматизированной информационной системы управления качеством образования в целях повышения эффективности управления образовательными процессами, проведения мониторинговых исследований в сфере образования, формирования статистических и аналитических отчётов по вопросам качества образования;
• обеспечение личной безопасности обучающихся;
• планирование, организация, регулирование и контроль деятельности образовательного учреждения в целях осуществления государственной политики в области образования.

Могут ли родители (законные представители) не давать свое согласие на обработку персональных данных ребенка? Чем это грозит?

Школа будет оперировать только фамилией именем и отчеством ребенка, поскольку согласно Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» персональные данные (ПДн) – это данные, позволяющие идентифицировать субъект ПДн. Для того чтобы идентифицировать субъект ПДн, необходима определенная совокупность его персональных данных. Например, на основании только ФИО невозможно идентифицировать субъект. В случае, если помимо ФИО присутствуют дополнительные персональные данные (например, паспортные сведения: дата рождения, адрес и т.д.), такой набор персональных данных позволяет однозначно идентифицировать субъект. Персональные данные, набор которых не позволяет идентифицировать субъект, являются обезличенными, и на их обработку согласие не требуется.
НО! Что делать с Личным делом и Медицинской картой ребенка? Вы их заберете? Даже если нет, то Школа без подписанного вами Согласия не сможет использовать (обрабатывать и распространять) ПДн, а следовательно ПДн ребенка не будут внесены в базы данных ГИА, следовательно, ребенок не сможет сдавать экзамены и не получит документ об образовании. Ребенок не сможет получить медицинское обслуживание, не сможет участвовать (при желании) в олимпиадах и конкурсах и т.д.

Почему в Согласии на обработку ПДн должны указываться паспортные данные родителя (законного представителя)?

Эти данные вносятся на основании статьи 9, п. 4.1 и п. 6 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Почему в Согласии на обработку ПДн указано, что оно действует бессрочно?

Согласно закона персональные данные хранятся в течение 75 лет, а в некоторых базах данных и дольше. Но Вы в любой момент можете отозвать свое Согласие, например, после того, как Ваш ребенок закончит обучение в нашей школе.